Flusso di lavoro del servizio Richieste certificati SAML
Importante
Nota sui metadati XML
Se utilizzi la funzione SAML Single Sign-On, non puoi usare gli stessi metadati XML per entrambe le configurazioni. L’ID entità della richiesta di certificato SAML deve essere diverso dall’ID entità SAML SSO.
Fornisci a DigiCert i metadati sul tuo provider di identità (IdP)
Per configurare le richieste di certificato SAML per il tuo account CertCentral, il primo elemento dell’elenco delle cose da fare SAML Admin è impostare i metadati del tuo IdP. Puoi farlo con un URL dinamico o metadati XML statici del tuo IdP.
Metadati dinamici
Configura il tuo IdP con un URL dinamico che si collega ai metadati del tuo IdP. Con un link dinamico, il tuoi metadati vengono aggiornati automaticamente. Se hai degli utenti che accedono al tuo account ogni giorno, si aggiornano ogni 24 ore. Sono sono passate più di 24 ore da quando qualcuno ha effettuato l'accesso, si aggiorneranno la prossima volta che un utente accede al tuo account.
Metadati statici
Configura il tuo IdP caricando un file XML statico che contiene tutti i metadati del tuo IdP. Per aggiornare i tuoi metadati, dovrai accedere al tuo account e caricare un nuovo file XML con i metadati IdP aggiornati.
Nome federazione
Affinché i tuoi utenti SAML identifichino più facilmente il tuo URL di richiesta certificato avviato da SP, raccomandiamo di aggiungere una federazione (nome descrittivo). Questo nome farà parte dell’URL richiesta certificato avviato da SP che puoi inviare agli utenti SAML per la richiesta di certificati client. Sarà incluso anche nel titolo della pagina di accesso alla tua richiesta certificato avviato da SP.
Avviso
il nome federazione deve essere univoco. Raccomandiamo di usare il nome della tua azienda.
Mapping campo previsti dall’asserzione SAML
Perché la richiesta di un certificato SAML abbia successo, è necessario configurare i mapping di campo sul lato IdP nell’asserzione SAML.
Organizzazione
Cercheremo l’attributo SAML “organizzazione”.
L’attributo organizzazione deve corrispondere ad un’organizzazione attiva che DigiCert ha convalidato per la convalida organizzazione (OV). Ad esempio, se vuoi usare DigiCert, Inc., il tuo attributo “organizzazione” SAML deve essere “DigiCert, Inc.” (
<saml:AttributeValue>
DigiCert, Inc.
</saml:AttributeValue>
).Nome comune
Cercheremo l'attributo SAML "common_name". Il dominio deve corrispondere a un dominio che DigiCert ha convalidato per la convalida organizzazione (OV).
Indirizzo email
Cercheremo l'attributo SAML "email".
ID persona (facoltativo)
L’ID personale è richiesto solo se l'ID nome non è incluso nell’asserzione. Se l’ID nome non è incluso, cerchiamo l’attributo SAML “person_id”.
L’attributo “person_id” deve essere univoco per l’utente. Questo ID consente agli utenti di accedere agli ordini effettuati in precedenza.
Questi mapping di campo devono essere configurati sul lato IdP in modo che DigiCert possa analizzare correttamente i metadati e visualizzare le informazioni corrette nei moduli di richiesta del tuo certificato SAML.
<saml:AttributeStatement> <saml:Attribute Name="organization"> <saml:AttributeValue>Example Organization</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="common_name"> <saml:AttributeValue>Jane Doe</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="email"> <saml:AttributeValue>j.doe@bprd.darkhorse</saml:AttributeValue> </saml:Attribute> <saml:Attribute Name="person_id"> <saml:AttributeValue>455c486547814cf1bcb7dcd9da91f8f6</saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement>
Prodotti disponibili sul modulo di richiesta certificato
Devi selezionare i certificati client che i tuoi utenti SAML possono ordinare una volta autenticati nella pagina delle richieste di certificati SAML. Attualmente, supportiamo solo certificati client per le richieste di certificati SAML.
Per abilitare un certificato client per la tua richiesta di certificato SAML, deve essere abilitato per il tuo account. Per abilitare un certificato client per il tuo account, contatta il tuo rappresentante account DigiCert o l’assistenza DigiCert.
Solo autenticazione – Fornisce l’autenticazione client.
Authentication Plus – Fornisce l’autenticazione client e la firma documento*.
Digital Signature Plus – Fornisce l’autenticazione client, la firma e-mail e la firma documento*.
Premium – Fornisce l’autenticazione client, la crittografia e-mail, la firma e-mail e la firma documento*.
Avviso
*Firma documento
Per i programmi che supportano l'applicazione della firma digitale e della crittografia, i clienti possono firmare i documenti e crittografare i loro dati preziosi, come per esempio i documenti. Per i programmi che usano l’Adobe Approved Trust List, dovrai usare un certificato di firma documento DigiCert.
Configurazioni dei limiti di prodotto
I limiti di prodotto che configuri nella pagina Impostazioni prodotto nel tuo CertCentral non si applicano ai prodotti per la funzione di richiesta certificato SAML (nel menu della barra laterale, fai clic su Impostazioni > Impostazioni prodotto).
Campi personalizzati
Attualmente, la funzione di richiesta certificato SAML non supporta l’aggiunta di campi personalizzati sul modulo di richiesta certificato.
Non utilizzare i campi personalizzati richiesti
Se vuoi abilitare il certificato client per le richieste di certificato SAML, non aggiungere i campi personalizzati richiesti al certificato. I campi personalizzati richiesti interrompono il processo di richiesta certificato SAML e causano un errore.
I campi personalizzati facoltativi non sono includi nei moduli di richiesta certificati SAML.
Puoi aggiungere campi personalizzati opzionali a un modulo di certificato client e abilitare ancora quel certificato per le richieste di certificati SAML. Tuttavia, i campi personalizzati opzionali non passano nel modulo di richiesta certificato SAML.
Metadati Service Provider (SP) DigiCert
Dopo aver impostato i metadati del tuo provider di identità, aggiunto un nome federazione e configurato i prodotti del certificato client consentiti per le richieste di certificato, ti forniremo i metadati SP di DigiCert.
Questi metadati devono essere aggiunti al tuo IdP in modo da poter fare il collegamento tra il tuo IdP e il tuo account CertCentral. Puoi usare un URL dinamico o dei metadati XML.
Metadati dinamici
Aggiungi i metadati SP DigiCert al tuo IdP usando un URL dinamico a cui il tuo IdP può accedere per mantenere aggiornati i metadati.
Metadati statici
Aggiungi i metadati SP di DigiCert al tuo IdP usando un file XML statico. Se devi aggiornare il tuo IdP in futuro, dovrai accedere al tuo account CertCentral e ottenere un file XML aggiornato con i metadati SP di DigiCert.
URL della richiesta certificato personalizzato avviato dal service provider (SP) o URL della richiesta certificato avviato dal provider di identità (IdP)
Una volta aggiunti i metadati SP di DigiCert al tuo IdP, usa l’URL della richiesta certificato SAML per richiedere un certificato client. Accedi tramite l’URL della richiesta certificato personalizzato avviato dal service provider (SP) o l’URL della richiesta certificato avviato dall’IdP.
URL richiesta certificato personalizzato avviato da SP
Insieme alle modifiche del nuovo processo SAML, viene creato un nuovo URL della richiesta certificato personalizzata. Gli utenti SSO possono usarlo per richiedere un certificato client (ad esempio https://www.digicert.com/account/saml-certificate-request/”federation-name”/login).
URL di richiesta certificato avviato da IdP
Se preferisci, usa un URL di accesso avviato da IdP per accedere e ordinare anche il certificato client. Tuttavia, devi fornire agli utenti SAML questo URL avviato da IdP o l’applicazione.
Conferma collegamento IDP
Sei pronto a finalizzare il collegamento URL per la tua richiesta di certificato SAML?
Accedi all’URL della richiesta certificato (avviato da SP o IdP) per la prima volta per finalizzare il collegamento.